基于身份的代理盲签名方案的密码学分析

⃝i=1Q（）<$x−c<$nexp−π，x∈ R.=可在www.sciencedirect.com在线获取ScienceDirectICTExpress 6（2020）20www.elsevier.com/locate/icte格上基于身份的代理盲签名方案的密码学分析Swati Rawal，Sahadeo Padhye数学系，Motilal Nehru国家技术学院，Allahabad 211004，印度接收日期：2019年2月16日;接受日期：2019年在线预订2019年摘要本文回顾了Zhang等人提出的基于身份的代理盲签名方案，并对该方案进行了攻击，该方案泄露了构造该方案所使用的主密钥c2020年韩国通信与信息科学研究所（KICS）。出版社：Elsevier B.V.这是一篇基于CC BY-NC-ND许可证的开放获取文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。关键词：格密码;密码分析;代理签名;盲签名1. 介绍盲签名[1]是一种重要的密码学基元，在数字现金系统中具有重要意义。紧急情况-2. 点阵背景定义1（晶格）。集合{b1，. . . bn}<$Rn具有n个线性无关向量，生成n维格L基于区块链的数字现金系统的发展趋势，量子抵抗方案，基于格的盲签名，量子安全由集合L={nbiαi|αi∈ Z}。 集合{b1，. . . bn}L（B）。有很大的影响力。 2000年Lin等人[2]提出了代理盲签名的概念，它兼有代理签名和盲签名的特点。关于量子抵抗方案的问题，2014年，Zhang等人[3]在SIS问题的困难下给出了第一个基于格的基于身份的代理盲签名。该方案[3]采用了Agarwal等人[4]提出的基委托技术和Gentry等人[5]提出的格陷门技术，并证明了该方案是统计盲的。在SIS问题的困难性下，证明了该算法满足强不可伪造性。但本文介绍了一种对手，可以很容易地进行攻击，揭示主密钥。其余各节的组织如下。第二节给出了张等[3]在格上的一些性质，下一节。第4节描述了方案[3]的密码分析。第五节是论文的∗通讯作者。称为格的基接下来我们定义Ajtai [6]引入的某些格族。定义2.对于某些q，n，m∈ Z和一个矩阵A∈Zn×m，我们定义如下格：1. L∈（A）= {x∈Zm|Ax= 0 mod q}2. L∈y（A）={x∈ Zm|Ax=ymod q}注意，由于Ly（A）=u+Ly（A）， 其中u是方 程A u= y mod q的任意解（在Zm上），Ly（A）形成L（A）的陪集。定义3. 对于任意σ >0，我们可以定义Rn以c为中心的高斯函数，其标准差σ为ρc，σ（x）=σ我们可以定义离散高斯函数在任何n维格L为电子邮件地址：gmail.com（S.Rawal），sahadeomathrsu@gmail.com（S.Padhye）。同行审议由韩国通信研究所负责DLc，σ（x） ρc，σ（x）ρc，σ（L），λx∈ L.教育与信息科学（KICS）。https://doi.org/10.1016/j.icte.2019.05.001其中ρc，σ（L）=<$x∈Lρc，σ（x）.2405-9595/2020韩国通信和信息科学研究所（KICS）。出版社：Elsevier B.V.这是一个开放的访问CC BY-NC-ND许可证下的文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。Qmodi=1qi=1QQQL−i=1i=1L=-√S. Rawal和S. Padhye/ICT Express 6（2020）20-2221定义4. 对于素数q和高斯参数σ， Dm×m定义为满秩矩阵Ai=[ai1，. . .，aim] ∈Zm×m，aij从DZm，σ，0采样。2. ε2σ ≤2 σ 2μm。3. A0（H（I D1）−1）（H（I D2）−1）e1 =1000（−1）M[i]Ci本 文 定 义 了 Ajtai [6] 提 出 的 最 短 解 问 题 （ ShortestDiscrimination Problem，SIS），并将其作为Zhang等人方案中的困难假设。定义5（最短路径问题（Shortest Solution Problem，SIS））。对于正整数q，矩阵A∈Zn×m和实σ，求a4. A0（H（I D2）−1）e2=d （−1）M[i]Ci modQ4. 身份代理盲签名该方案遵循RSA式盲签名的步骤，即Blinding→Sign→Unblinding。这只非零整数t，使得At=Q0 modq且σt≤σ。功能使其脆弱，因为在收到一个盲目的签名者不验证它，因此任何对抗用户3. Zhang等人'身份代理盲签名对素数n，m≥2nlogq，q ≥βω（logn）且β=可以使用这一点作为下面彻底讨论的签名方案的弱点，poly（n）. σ=L< $ω（logn）为高斯参数r，L<$ω 为时间复杂度为O（n log q），哈希函数H：{0，1}−→ Zm×m。• 设置-对于安全参数n，PKG生成（A0，S0） 使用 TrapGen（1n）， 其中A0∈Zn×m（主人公钥）和短基（主密钥）S0（A0）.消息被视为d比特串，然后选择d个独立的公共参数矩阵C0，. . . ，Cd∈ Zn.• KeyGen-PKG使用Basis Del（A0，H（I Di），S0，σ），在接收到被操纵的消息上的签名时，用户使用如下。以来A0（H（I D1）−1）（H（I D2）−1）e′1=µ1modq，身份IDi（i=1， 2）生成秘密密钥Si，短µ=A（H（I D）−1）（H（I D）−1）tmodq基为L（A0（H（I Di）−1））。1 0 1 2 1代理密钥生成-原始签名者A选择身份I D2并运行基Del（A0（H（I D1）-1），H（I D2），S0，σ）以获得代理秘密密钥Sδ，（A0（H（I D1）−1）（H（I D2）−1））。然后A将代理密钥发送给代理签名者B。• 代理盲签名生成-在d比特消息上<$A0（e′1−t1）=0 modq，因为（H（I D1）−1）（H（I D2）−1）=0modQ由于它们是格L<$µ1（A0（H（I D1）−1）（H（I D2）−1））中µ1的许多原像，因此，（e′1−t1）<$=0 modq。 此外，e′1和t1都是短的，εe′1−t1ε≤2σm.B和用户C返回签名如下：–因此，对抗用户具有来自latticeL（A0），多次执行此攻击，用户σ样本t1，t2 ∼ DZm，σ 使得A0（H（I D1）−1）可以得到一组短向量，构造格L（A0）的短基，从而得到（H（I D2）−1）t1，A0（H（I D1）−1）t2是均匀的，然后计算，µ1=td（−1）M[i]Ci+A1t1µ2=td（−1）M[i]Ci+A2t2其中A1A0（H（I D1）−1）（H（ID2）−1）A2A0（H（I D2）−1）C发送（μ1，μ2）给代理签名者。–e′1←Samp Pre（A1，Sδ，µ1，σ）e′2←Samp Pre（A2，S2，µ2，σ）然后，将（e′1，e′2）作为签名发送给C。–e1=t−1（e′1−t1），e2=t−1（e′2−t2）然后，他输出签名（M，（e1，e2））。• 验证：如果接受签名，1.σe1σ ≤2 σ 2σm。签名者用户设盲：计算（µ1，µ2）µ1=A1t1modQ符号生成：←−µ2 =A2t2modQe←Samp Pre（A，S，µ，σ）e′←Samp Pre（A1，Sδ，µ1，σ）′1222 2- −−→（e′1，e′2）·活板门方案的主密钥5. 结论Zhang等人[3]试图构造第一个基于身份的代理盲签名方案，但由于线性和签名者方面的缺陷，对抗用户可以很容易地攻击该方案。因此，本文强调了基于身份的代理盲签名方案的攻击量子计算机的途径。竞合利益作者声明，本文中不存在利益冲突。引用[1] D. Chaum ， Blind signatures for untraceable payments ， in ：ProceedingsofAdvances in Cryptology ， Springer ， Boston ， MA ，1983，pp. 199-203.[2] W.D. Lin，J.K.，一种基于代理盲签名的安全个人学习工具，见：中国语言计算国际会议论文集，芝加哥，伊利诺伊州，美国，2000年，第 10 0 页。273-27722S. Rawal和S.Padhye/ICT Express 6（2020）20[3] L. Zhang， Y. Ma，标准模型中基于格的基于身份的代理盲签名方案，在：工程中的数学问题，卷。2014，2014，307637，6.[4] S. Agrawal，D. Boneh，X. Boyen，固定维度和短密文分层IBE中的格基委托，在：Proceedings ofAdvances in Cryptology 2010中，在：Lecture Notes in Computer Science，vol. 6223，Springer，Berlin，Germany，2010，pp.98比115[5] C. 金特里角Peikert ，V. Vaikuntanathan ， Trapdoors for hard latticesandnew cryptographic constructions ， in ： Proceedings of ACMSymposiumonTheory of Computing，2008，pp. 197-206.[6] M. Ajtai，生成短基问题的硬实例，在：国际会议自动机，语言和编程论 文集。ICALP 1999 ，在 ：计算 机科学讲 义，卷。 1644 ，Springer，Berlin，Heidelberg，1999，pp.一比九